Laatste update: 1 mei 2016

Meer gegevens koppelen onder nieuwe europese privacyregels

Het Europees Parlement is akkoord met een voorstel van de Europese Commissie voor nieuwe privacyregels. Onder deze regels krijgt de overheid meer ruimte om gegevens te koppelen. Minister Van der Steur (VVD) schrijft aan de Tweede Kamer "voornemens [te zijn] positief te beslissen".

Na drie jaar onderhandelen is er een akkoord bereikt over nieuwe algemene regels voor privacybescherming die in de gehele Europese Unie gaan gelden. De komende twee jaar geldt als inwerktijd waarna op 25 mei 2018 de verordening in de gehele EU van kracht wordt. Daarnaast is men akkoord over een aparte richtlijn voor het gebruik van persoonsgegevens voor opsporing en vervolging van misdrijven.

Algemene verordening gegevensbescherming

De nieuwe regels lijken redelijk aan te sluiten bij onze Wet bescherming persoonsgegevens. Zo mogen gegevens slechts verzameld en bewaard worden zolang ze strikt noodzakelijk zijn voor specifieke en concrete doelen (artikel 5). Ook de grondslag waarop gegevens mogen worden verwerkt, lijkt op de Nederlandse situatie. Zo moet er toestemming worden gegeven of mogen gegevens worden gebruikt als dat nodig is voor het uitvoeren van een contract of voor de overheid voor het uitvoeren van haar wettelijke taken (artikel 6).

Maar Nederland heeft daarbij een uitzonderingsbepaling weten op te nemen die tot nu toe niet mogelijk is onder de Wet bescherming persoonsgegevens. Met deze uitzonderingsbepaling mag de overheid gegevens die voor een bepaald doel zijn verzameld zonder toestemming ook voor andere doelen gebruiken. (artikel 6(3a) ) Een voorbeeld kan zijn dat gegevens die gemeenten verzamelen voor het uitvoeren van de wet werk en bijstand ook gebruikt kunnen worden om een beeld te krijgen van het gezin als er jeugdzorg gevraagd wordt en andersom. Op dit moment is daar nog uitdrukkelijke toestemming van de betrokkenen voor nodig.

Privacy by design
Privacy by design moet de standaard worden (artikel 23). In situaties met een grote impact op de privacy van mensen, wordt het verplicht om risico analyses uit te voeren door middel van zogeheten privacy impact assessments (artikel 33). (Grotere) bedrijven en instellingen moeten een privacyfunctionaris aanstellen (artikel 35). Datalekken moeten worden gemeld (artikel 31) en kunnen leiden tot een boete van maximaal 4% van de wereldwijde omzet van een organisatie of 20 miljoen euro als dat groter is (artikel 79).

Er zijn twee opvallende nieuwe rechten voor burgers. De eerste is het recht om vergeten te mogen worden (artikel 17). Daarnaast mag men een (elektronische) kopie van zijn gegevens opvragen om aan een andere organisatie te kunnen geven. Met deze 'dataportabiliteit' moet men makkelijker naar een vergelijkbare dienst bij een andere organisatie kunnen verhuizen.

Richtlijn voor gegevensbescherming bij opsporing en vervolging

De gegevens die gebruikt worden bij de opsporing en vervolging van strafbare feiten vallen niet onder de AVG. Voor deze situatie is tegelijk met de AVG een aparte richtlijn gemaakt. Het verschil tussen een richtlijn en een verordening is dat een richtlijn veel meer vrijheid geeft aan de lidstaten. Elke nationale overheid kan de richtlijn invullen met een eigen nationale wet, terwijl een verordening in alle lidstaten direct geldt en dus overal hetzelfde is.

Ook deze nieuwe richtlijn sluit redelijk aan bij onze Wet bescherming persoonsgegevens. Wat opvalt is dat bij verwerken van gegevens onderscheid moet worden gemaakt naar verschillende categorieën, te weten verdachten, veroordeelden, slachtoffers of getuigen (artikel 5). Daarnaast moet van elke gegeven worden vastgelegd hoe betrouwbaar dat gegeven is. Gaat het om feiten of om een oordeel van een (politie-)functionaris (artikel 6)?
In afwijking van onze Wbp mag ook hier de overheid gegevens gaan hergebruiken voor andere doeleinden dan waarvoor ze verzameld zijn (artikel 4.2).

Volgens de richtlijn moeten burgers uitgebreid geïnformeerd worden over hun recht op inzage, correctie en verwijdering van gegevens. Ook moeten burgers geïnformeerd worden over de mogelijkheid een klacht in te dienen bij de toezichthouder (hoofdstuk 3).

Privacy by design is ook binnen de richtlijn het leidende principe (artikel 19). Bij situaties met een grote impact op de privacy, wordt ook voor opsporingsinstanties een privacy impact assessment verplicht (artikel 25a). Bovendien moet vooraf advies gevraagd worden aan de toezichthouder (artikel26).

Met deze nieuwe richtlijn gaat er ook voor opsporingsinstanties een meldplicht gelden als zich een (ernstig) datalek voordoet, tenminste, als dit de opsporing en de publieke veiligheid niet in de weg staat (artikel28 en artikel 29). Het wordt verplicht om elke handeling met gegevens te 'loggen', zodat later kan worden bekeken wie er wat met de gegevens heeft gedaan (artikel 24). De opsporingsinstanties moeten verplicht een privacyfunctionaris aanstellen (artikel 30).

Verordening en richtlijn

Sinds 2012 werkt de Europese Commissie aan een verordening over gegevensbescherming voor de gehele EU. Naar verwachting treden de verordening en de richtlijn nog in 2016 in werking. Lidstaten krijgen dan nog een implementatietermijn van twee jaar om aan de nieuwe regels te gaan voldoen. Deze verordening en richtlijn vervangen de oude Europese privacyrichtlijn uit 1995.

Omdat het een Europese verordening en richtlijn betreft, is er geen stemming over geweest in de Tweede Kamer. De figuur hiernaast is daarom leeg.

 

Laatste update: 01.05.2016

Status onderwerp: wet

Impact op privacy:

Dossier tweede kamer: 32761

Datum stemming: 14.04.2016

Tags: EU, verordening, gegevensbescherming
 

 


Index

referendum afluisterwet

Stemming

Stemming over de wet 'algemene verordening gegevensbescherming'*.

* In de figuur is de stemming weergegeven zoals partijen in de Tweede Kamer hebben gestemd over deze wet. Als er geen balkje bij een partij staat, bestond de partij nog niet ten tijde van de stemming

Gerelateerd

Onbeperkt gegevens koppelen een stap dichterbij

Het onbeperkt koppelen van gegevens die de overheid over burgers verzamelt, is door nieuwe Europese regels een stap dichterbij gekomen. Met de nieuwe regels wordt de Nederlandse Wet bescherming persoonsgegevens op een cruciaal punt buiten spel gezet. Lees verder >>>


Kabinet wil vrijbrief voor onbeperkt koppelen gegevens

Het kabinet komt met een voorstel om alle beschikbare gegevens voor elk gewenst doel te mogen koppelen. Het kabinet stelt hiermee de Wet bescherming persoonsgegevens gedeeltelijk buiten werking. Lees verder >>>


Deel deze pagina via:

Help mee!

LogoHelp mee om de immense archieven van de Nederlandse inlichtingen­diensten te redden. Vraag dossiers op in het belang van onze veiligheid, democratische controle op de diensten, burgerrechten en kennis over de betrokkenheid van de inlichtingendiensten.

Nieuws- & Opinie

Om het privacy-debat te stimuleren heeft Privacy Barometer ook een nieuws- en opiniepagina.

27-06-17

Wilders herhaalt oproep voor preventief opsluiten

Geert Wilders (PVV) herhaalt de oproep van zijn partij om mensen preventief op te sluiten als zij "een mogelijk gevaar [vormen] voor de nationale veiligheid". Wilders zegt hiervoor een wetsvoorstel te zullen indienen. Volgens de PVV-leider moeten de veiligheidsdiensten iemand bij de minister van Binnenlandse Zaken kunnen voordragen voor opsluiting. Lees verder >>>

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.136 seconden